Artigos

Quais são os seis pontos que você precisa saber sobre a LGPD?


A LGPD foi publicada no dia 14 de agosto de 2018, a Lei nº 13.708/2018, mas sua vigência a partir de 27/08/2020. Para esquematizarmos a lei de forma didática faremos através de perguntas e respostas.

1- A quem se aplica a LGPD?

A todas as pessoas físicas e jurídicas, sejam elas públicas ou privadas, de qualquer porte, setor ou tipo de tributação, que realizam qualquer operação de tratamento de dados dentro do território nacional, tanto no ambiente online quanto no offline.  Empresas não sediadas no Brasil também podem vir a ter que observar os termos da LGPD nas seguintes hipóteses: Se elas realizam tratamento de dados pessoais no território nacional; Se o tratamento dos dados pessoais tem como objetivo ofertar bens ou serviços para o mercado nacional; Caso os dados pessoais sejam de indivíduos localizados no território nacional ou tenham sido coletados no Brasil.

2- A quem não se aplica a LGPD?

a. Tratamento de dados pessoais realizado por pessoa física para fins exclusivamente particulares e não econômicos;
b. Tratamento de dados realizado para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais;
c. Dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, compartilhamento ou transferência internacional para outro país que não o de sua proveniência, desde que este também zele pela proteção de dados pessoais na mesma proporção que a LGPD.

3- O que a LGPD considera tratamento de dados pessoais?

É toda e qualquer operação que de algum modo envolva o uso de dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Uma vez que a definição legal é ampla, abrange toda e qualquer operação que de algum modo envolvem o uso de dados pessoais. Para que o tratamento ocorra dentro do determinado pela LGPD a situação precisa estar enquadrada dentre as 10 bases legais.

4-    Quais são as bases legais da LGPD?

a.    mediante o fornecimento de consentimento pelo titular;
Exemplo: Você tem um e-commerce e quando as pessoas compram na sua loja virtual você disponibiliza um formulário para que elas consintam que seja enviada propaganda e e-mail marketing. Entretanto, o titular poderá cancelar esse consentimento a qualquer tempo e você não poderá mais utilizar para a finalidade a qual possuía a base legal.

b.    para o cumprimento de obrigação legal ou regulatória pelo controlador;
Exemplo: Uma empresa precisa transmitir os dados dos seus funcionários constantes de seus registros internos de RH à Secretaria Especial do Ministério da Economia (antigo Ministério do Trabalho), a fim de cumprir com a entrega da Relação Anual de Informações Sociais (Rais). Nesse caso, os empregados não podem opor resistência ao compartilhamento de dados, uma vez que é necessária para o cumprimento de uma obrigação legal/regulatória por parte do controlador.

c.    pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
Exemplo: É o caso de dados necessários para implementar programas de assistência social e de transferência de renda, dentre muitos outros exemplos possíveis.

d.    para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Exemplo: O IBGE faz um estudo de quantas pessoas possuem ensino superior em determinada região e, nesse estudo, não é possível identificar os dados de titulares.

e.    quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Exemplo: A contratação, por parte de um titular de dados, de um serviço de armazenamento em nuvem, como o Google Fotos.

f.    para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
g.   para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Exemplo: Atendimento de um paciente em atendimento de doença pré-existente no hospital A, mas chega no hospital B em estado crítico. Nesse caso, o hospital A precisará de todo o histórico médico do hospital B, ou seja, onde o paciente costumava frequentar. Sendo assim, o médico que irá atendê-lo fica autorizado a requisitar a documentação ao outro hospital, que poderá compartilhar toda a documentação que continha daquela paciente.

h.    para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Exemplo: análise de dados necessários para uma campanha de vacinação ou para notificar sobre o resultado de um exame.

i.    quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; 
j.    para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Exemplo: É uma garantia aos órgãos de proteção ao crédito, como a Serasa, para que possam continuar incluindo dados de consumidores em cadastros positivos. Assim como, para que as empresas com as quais o titular tenha pendências financeiras possam comunicar aos órgãos competentes que existe essa dívida.

5-    Quais os direitos que sua empresa deve proporcionar que o titular de dados exerça?

a.    Direito ao acesso
i.    Como será exercido? O titular irá solicitar à empresa informações e cópia sobre os dados que possui sobre o titular e a forma como estes são tratados. Quando isso ocorrer, a solicitação do titular pode ser atendida, por exemplo, por meio da disponibilização de uma cópia dos dados pessoais que a empresa detenha. Isso tem que ser feito em até 15 dias, depois da confirmação da identidade do titular. 
b.    Direito à retificação
i.    Como será exercido? O titular irá solicitar a correção dos seus dados pessoais, caso identifique que alguns deles estão incorretos ou desatualizados.
c.    Direito à exclusão
i.    Como será exercido? O titular irá solicitar a exclusão dos seus dados pessoais dos sistemas e base de dados da empresa (a empresa deverá excluir os dados, salvo se houver uma razão para mantê-los, como uma obrigação legal ou um interesse legítimo em que não é permitida uma oposição).
d.    Direito de restringir o tratamento
i.   Como será exercido? O titular irá pedir à empresa para que o tratamento dos seus dados pessoais seja suspenso para determinadas finalidades, ou seja, permitir o uso para algumas finalidades e não para outras. A empresa pode garantir esse direito, por exemplo, por meio da adoção do botão de cancelar a assinatura nos e-mails enviados.
e.    Objeção ao tratamento
i.   Como será exercido? O titular pode se opor ao tratamento de seus dados, considerando o impacto a seus direitos. Em alguns casos, a empresa poderá demonstrar que tem motivos legítimos para tratar os dados pessoais que se sobrepõem à objeção do titular, como, por exemplo, nos casos em que o tratamento for essencial para registrar o vínculo do titular com a empresa ou para prevenir fraudes.
f.     Direito à explicação
i.   Do que se trata? O titular tem o direito de entender os motivos que levaram o titular a ser submetido a um determinado tratamento, inclusive no caso de decisões automatizadas.
g.    Direito à portabilidade
i.   Como será exercido? O titular dos dados irá requisitar o fornecimento de seus dados pessoais, em um formato estruturado e interoperável, para outra empresa. Diferente do direito de acesso, neste caso a própria empresa é responsável por transferir os dados para a outra, inclusive se esta for concorrente.
h.    Direito a retirar o consentimento- o titular ao retirar o consentimento deve sair da base de dados da empresa e não receber mais contato, como acontece para fins publicitários.

6-    O titular pode exercer todos esses direitos sempre?

A resposta é não. Cada base legal permite que o titular tenha acesso a certos direitos. Quer ver um exemplo de como os direitos dos titulares mudam de acordo com a base legal empregada no tratamento dos dados? 
 

    Qual a importância dessas diferenças para a sua empresa? Você já conseguiu observar com base na tabela acima que a base legal do consentimento proporciona um maior leque de direitos dos titulares, o que vai exigir do empresário uma logística maior para que isso seja cumprido. Você precisará criar um processo dentro da empresa para que os pedidos cheguem até você, sejam analisados e respondidos. Sendo assim, fique atento para definir a base legal com precisão. Isso porque o consentimento pode ser revogado a qualquer momento.